Zabezpečenie e-mailov je oveľa zložitejšie, než sa na prvý pohľad zdá. Všetci dobre vieme, že e-mail je jednou z najťažšie napadnuteľných oblastí pre phishing osobných údajov a citlivých informácií.
Hackeri sú čoraz lepší vo vytváraní autenticky vyzerajúcich správ, ktoré mnohých oklamú tak, že kliknú na výzvu k akcii a poskytnú podvodníkom informácie, ktoré hľadajú – často prihlasovacie údaje a finančný prístup.
Overovanie e-mailov – čo to je?
Overenie e-mailu is the system designed to protect your reputation by checking when you send an email campaign that you’re who you say you are. The four concepts are simple enough, yet setting each of the methods can be tricky. However, the protection offered when combined is as good as you can put in place under our current systems.
Aké sú možné metódy?
V súčasnosti sa používajú tieto štyri typické metódy overovania e-mailu:
- SPF – Rámec politiky odosielateľa
Tento štandard vykonáva pôvodnú kontrolu, či každý e-mail pochádza z dôveryhodnej IP adresy. - DKIM – DomainKeys Identified Mail
Ďalšia kontrola identity, ale tentoraz s použitím šifrovacieho kľúča ako digitálneho podpisu. - DMARC – správa o overovaní správ domény a zhode
DMARC zabezpečuje, aby e-maily pred doručením spĺňali požiadavky SPF aj DKIM. - BIMI – Značkové indikátory na identifikáciu správ
BIMI poskytuje poslednú kontrolu, pričom sa zameriava na dôveryhodnosť odosielateľa a zobrazenie jeho značky v doručenej pošte príjemcu (ak je to v súčasnosti podporované).
Na každý z nich sa pozrieme hlbšie o niečo neskôr, ale najprv si vysvetlíme, prečo sú také dôležité, a povieme si niečo o tom, ako fungujú.
Ako funguje overovanie e-mailu?
Každá z metód overovania (SPF DKIM DMARC BIMI) uplatňuje na vaše e-maily úroveň zabezpečenia pomocou vašej e-mailovej domény, aby sa overilo, že ste ten, za koho sa vydávate.
- Odosielateľ definuje zásady/pravidlá overovania svojej domény.
- Potom nakonfigurujú doménové servery DNS a e-mailové servery na implementáciu týchto pravidiel.
- Servery príjemcov overujú prichádzajúce e-maily tak, že ich porovnávajú s pravidlami pevne stanovenými v doméne DNS.
- Ak je overenie autentifikované, server príjemcu bezpečne spracuje e-mailovú správu; ak overenie zlyhá, správa sa zablokuje, umiestni do karantény alebo sa spravuje v súlade s rozhodnutím o overení.
Aké sú výhody?
Ako vidíte, ak nenastavíte overovanie e-mailov, riskujete odmietnuté e-maily, vyššiu mieru nevyžiadanej pošty a nižšiu mieru doručenia.
Vaše starostlivo premyslené, krásne navrhnuté a vytvorené správy majú oveľa menšiu šancu, že sa dostanú do schránok, pre ktoré sú určené.
Ešte horšie je, že bez zavedených metód overovania e-mailov je vaša značka oveľa ľahšie podvrhnuteľná, čo vás a vašich klientov necháva otvorenými voči e-mailovým útokom, hackerským útokom a phishingu.
Nastavenie overovania e-mailu
To set up your domain to manage each authentication method, you need access to the DNS settings ( Domain Name System) through your domain registration service.
Po prístupe k nastaveniam DNS pridáte do domény rôzne záznamy TXT a CNAME.
Ak chcete zistiť hodnoty nastavení svojej domény, musíte sa obrátiť na hostiteľov e-mailu. Poskytnú vám nastavenia záznamov SPF, vygenerujú selektor DKIM v rámci svojej oblasti hostingu a ukážu vám, ako implementovať zásady DMARC, pretože hostitelia sa často líšia v spôsobe konfigurácie.
You’ll add another TXT record to include a BIMI record, including the path to your brand image file .
SPF – Rámec politiky odosielateľa
SPF je štandardné overovanie vytvorené v začiatkoch vývoja elektronickej pošty. Kedysi bol vhodný pre prvé e-mailové systémy, v prípade moderných poštových metód však predstavuje niekoľko problémov. Preto je potrebné využiť všetky štyri metódy, aby sa dosiahla forma úplného krytia.
SPF records are stored in plain text within the domain DNS and dictate the IP addresses with permission to send from the domain .
Keď e-mailový server príjemcu vykoná vyhľadávanie DNS na získanie záznamu SPF, použije hodnotu v návratovej ceste správy.
Problémy s overovaním SPF
Syntax – Despite being text records, the syntax can get tricky when entering the DNS records . If they’re not precise, then authentication will fail, even if the message and sender are genuine.
Identifikácia schválených adries IP – Zdieľané systémy, ako napríklad cloudové platformy, môžu byť hostiteľmi viacerých služieb s dynamicky prideľovanými adresami IP. Aj keď je možné určiť a schváliť IP, môže to tiež umožniť komukoľvek inému používať rovnakú zdieľanú IP pomocou vášho záznamu SPF.
SPF can be spoofed – SPF uses the hidden return path field for authentication—not the ‘from’ field, which recipients can clearly view. A hacker, phishing for information, can present a valid looking domain and email address in the ‘from’ field, yet have their own email as the return-path, using their own authentication system to get through server checks.
SPF nepodporuje preposielanie e-mailov – server príjemcu neoverí preposlanú správu, pretože sa zdá, že identifikačná doména je doména preposielajúceho servera, a nie pôvodná doména.
Ako vidíte, to, čo bolo kedysi prijateľnou metódou, je teraz výrazne chybné. Poskytuje základy, na ktorých sa dá stavať pre väčšiu všestrannú bezpečnosť. Ako samostatná metóda však v dnešnej technológii jednoducho nevyhovuje.
DKIM – DomainKeys Identified Mail
DKIM používa na podpisovanie e-mailových správ šifrovanie verejným/súkromným kľúčom. Overuje, že e-maily boli odoslané z domény a že e-mail nebol počas prenosu upravený.
Je to bezpečnejšia metóda overovania, pretože zaručuje, že správa nebola počas doručovania zmenená. Ďalšou výhodou je, že overenie DKIM prežije aj preposielanie e-mailov.
The domain owner creates cryptographic keys in pairs: public and private. The public key is placed as a TXT record on the domain’s DNS. When an email is sent, a ‘hash’ is generated based on the contents of the message . This hash is encrypted with the domain’s private key and attached to the header of the email.
E-mailový server príjemcu prečíta zašifrované informácie pomocou verejného kľúča umiestneného v systéme DNS, a ak sa všetko zhoduje, overenie je povolené.
Selektory DKIM
Každá doména môže používať niekoľko selektorov. Tieto hodnoty sa používajú na identifikáciu jedinečných vlastností, napríklad subdomén, používateľov, lokalít a služieb. Každý selektor pracuje s vlastným verejným kľúčom, čím sa vzdáva jediného zdieľaného kľúča pre všetky prípady.
Problémy s overovaním DKIM
Mismatched signatures – A valid DKIM signature could use a completely different domain than that shown in the ‘from’ field. It makes phishing from another email domain a simple proces .
Zabezpečenie kľúčov – hacker, ktorý podpisuje správy pomocou domény iného používateľa, môže svoje e-maily dokonale overiť pomocou súkromného kľúča tejto domény.
Implementácia a správa kľúčov – Dlhé a bezpečnejšie kľúče môžu byť pri použití v doméne DNS problematické. Tieto dlhé reťazce údajov sa dajú ľahko nesprávne použiť, a to aj pri kopírovaní a vkladaní.
To get the best from DKIM, it needs to be partnered with DMARC, bringing the domain used in the ‘from’ field into play. You can see now how each system depends on its previous method to create a complete and effective authentication system.
DMARC – správa o overovaní správ domény a zhode
As already mentioned, DMARC enforces the use of the domain set in the from field to predchádzať . hackers and attackers from using alternate domains to bypass safety checks.
Zahŕňa aj mechanizmus hlásenia, ktorý umožňuje odosielateľovi rozhodnúť, ako naložiť s výsledkami overovania. Záznam DMARC riadi, kam a ako servery príjemcov posielajú hlásenia.
DMARC v podstate vypĺňa medzery medzi SPF a DKIM a zvyšuje doručiteľnosť e-mailov. Spammeri už nemôžu zneužívať tieto chránené domény, preto sa buduje reputácia domény, čím sa neustále zvyšuje miera doručiteľnosti.
Vykonávanie DMARC
Záznam DMARC určuje, čo sa má robiť s e-mailami, ktoré sa nepodarí autorizovať. Zásada má tri výsledky: nerobiť nič, umiestniť do karantény alebo odmietnuť. Správa DMARC upozorňuje držiteľa domény na to, odkiaľ takéto neúspešné správy prišli, a poskytuje mu dôležité informácie o porušení a o tom, čo môže urobiť, aby podnikol ďalšie ochranné kroky.
BIMI – Značkové indikátory na identifikáciu správ
Očakáva sa, že zahrnutie overovania e-mailov BIMI prinesie približne 10% zvýšenie angažovanosti prostredníctvom doručiteľnosti – to nie je číslo, ktoré by sa malo brať na ľahkú váhu.
Vzhľadom na to, že táto metóda overovania je ešte len v plienkach a mnohí poskytovatelia e-mailových služieb ju ešte stále nezaviedli, používatelia môžu podniknúť niekoľko krokov, aby sa uistili, že sú pripravení na jej veľké zavedenie, keď sa konečne dostane na naše servery.
Vzhľadom na to, že spoločnosť Google integruje BIMI do balíka G Suite, je isté, že je len otázkou času, kedy sa k nej pridá aj zvyšok sveta.
Ako sa pripraviť na BIMI?
Ak chcete aktivovať overovanie e-mailov BIMI, musíte najprv overiť e-maily pomocou SPF, DKIM a DMARC a zabezpečiť zosúladenie (doména je v celom texte rovnaká). Zásady DMARC musia byť vynútené buď na úrovni karantény, alebo odmietnutia a doména DNS musí mať správny záznam BIMI.
Budete tiež musieť hosťovať príslušný súbor s logom ako odkaz, aby sa výsledné overenie zobrazilo v schránkach príjemcov. Vaše logo bude musieť byť v správnom formáte SVG a prípadne s certifikátom VMC (Verified Mark Certificate) na overenie súboru.
Úplné overenie pre vaše e-mailové kampane
We’ve learned that each one of these methods on its own won’t provide any kind of one-stop solution to make life simple. However, with a little work to bring each of the systems together as one, you’ll be far more secure in the delivery of your email campaigns and messages than you could ever be without them.
It’s worth the time and effort it takes if it ensures the protection of your service, your Odberatelia and boosts the connectivity and returns on your marketing.
